[语言类考试复习资料大全]中级信息安全工程师下午试题模拟1

1、书山有路勤为径，学海无涯苦作舟。祝愿天下莘莘学子：学业有成，金榜题名！语言类考试复习资料大全中级信息安全工程师下午试题模拟1中级信息安全工程师下午试题模拟1试题一(共20分)说明 密码编码学是研究把信息(明文)变换成没有密钥就不能解读或很难解读的密文的方法，密码分析学的任务是破译密码或伪造认证密码。 1. 通常一个密码系统简称密码体制，请简述密码体制的构成。答案:密码体制由以下五个部分组成： (1)明文空间M：全体明文的集合。 (2)密文空间C：全体密文的集合。 (3)加密算法E：一组明文M到密文C的加密变换。 (4)解密算法D：一组密文C到明文M的加密变换。 (5)密钥空间K：包含加密密钥K

2、e和解密密钥Kd的全体密钥集合。解析 密码分组链接模式(CBC)可以分为密文链接方式和明密文链接方式。 (1)CBC的密文链接方式。 密文链接方式中，输入是当前明文组与前一密文组的异或。 CBC的密文链接方式下：加密会引发错误传播无界，解密引发错误传播有界。CBC不利于并行计算。 (2)CBC的明密文链接方式。 明密文链接方式中，输入是前一组密文和前一组明文异或之后，再与当前明文组异或。CBC的明密文链接方式下：加密和解密均会引发错误传播无界。 2. 根据所基于的数学基础的不同，非对称密码体制通常分为_、_、_。答案:基于因子分解。 基于离散对数。 基于椭圆曲线离散对数。 注：次序可以变化。

3、3. 根据密文数据段是否与明文数据段在整个明文中的位置有关，可以将密码体制分为_体制和_体制。答案:分组密码。 序列密码。 注：次序可以变化。 4. 在下图给出的加密过程中，mi(i=1，2，n)表示明文分组，ci(i=1，2，n)表示密文分组，K表示密钥，E表示分组加密过程。该分组加密过程属于哪种工作模式?这种分组密码的工作模式有什么缺点? 答案:该加密过程属于CBC的密文链接方式。 CBC的密文链接方式下：加密会引发错误传播无界，解密引发错误传播有界。CBC不利于并行计算。 试题二(共15分)说明 RSA是典型的非对称加密算法，该算法基于大素数分解。核心是模幂运算。利用RSA密码可以同时实

4、现数字签名和数据加密。 1. 简述RSA的密钥生成过程。答案:选出两个大质数p和q，使得pq 计算pq=n 计算(n)=(p-1)(q-1) 选择e，使得1e(p-1)(q-1)，并且e和(p-1)(q-1)互为质数 计算解密密钥，使得ed=1mod(p-1)(q-1) 公钥=e，n 私钥=d，n 公开n参数，n又称为模 消除原始质数p和q解析 己知n=35，得到p和q分别为5和7； 计算(n)=(p-1)(q-1)=24 已知公钥e=5，又由于私钥d满足ed=1mod(p-1)(q-1)，因此d=5 明文M=Cdmod n=105mod 35=5 2. 简述RSA的加密和解密过程。答案:设定

5、C为密文，M为明文： 加密： C=Memod n 解密： M=Cdmod n 3. 简述RSA的数字签名过程。答案:设M为明文，M的签名过程为： 签名：Mdmod n 验证签名：(Md)e mod n 4. 在RSA中，己获取用户密文C=10，该用户的公钥e=5，n=35，求明文M。答案:M=5试题三(共10分)说明 阅读下面程序，回答下列问题。 void function(char *str) char buffer16; strcpy(buffer, str); void main() int t; char buffer128; for(i=0;i127;i+) bufferi=A; b

6、uffer127=0; function(buffer); print(This is a testn); 1. 上述代码能否输出“This is a test”?上述代码存在什么类型的隐患?答案:不能。 代码存在缓冲区溢出错误。解析 C语言程序在内存中分为三个部分：程序段、数据段和堆栈。程序段里存放程序的机器码和只读数据；数据段存放程序中的静态数据；动态数据则通过堆栈来存放。在内存中，它们的位置如下图所示。 Function()函数将长度为128字节的字符串拷贝到只有l6字节的缓冲区中去；而调用strcpy()函数进行字符串拷贝时，没有进行缓冲区越界检查。 下图中可以看到执行function

7、()函数前后的堆栈情况。 程序执行function()函数完毕时，由于缓冲区溢出，子程序的返回地址被覆盖，变成了0x41414141(AAAA的ASCII码表示，A的ASCII码为0x41)。因此无法执行print(This is a testn)语句。此时，返回地址已经不正常，也无法预计会执行什么指令。 压入堆栈中 的参数 内存高位内存低位 A 返回地址 AAAA少量缓存 在此向上共256个A缓存16字节空间 16个A 执行strcpy()前 执行strcpy()后2. 造成上述隐患的原因是?答案:(1)function()函数将长度为128字节的字符串拷贝到只有16字节的缓冲区中去。 (2

8、)strcpy()函数进行字符串拷贝时，没有进行缓冲区越界检查。 3. 给出消除该安全隐患的思路。答案:防范缓冲溢出的策略有： 系统管理防范策略：关闭不必要的特权程序、及时打好系统补丁。 软件开发的防范策略：正确编写代码、缓冲区不可执行、改写C语言函数库、程序指针 完整性检查、堆栈向高地址方向增长等。 试题四(共15分)说明 某公司通过PIX防火墙接入Internet，网络拓扑如下图所示。 在防火墙上利用show命令查询当前配置信息如下： PIX#show config . nameif cth0 outside security 0 nameif ethl inside security 1

9、00 nameif eth2 dmz security 40 . fixup protocol ftp 21 fixup protocol http 80 . ip address outside 248 ip address inside ip address dmz . global (outside) 1 6 nat (inside) 1 . route outside 0.

10、0.0.0 51 . 1. 解释处画线语句的含义。答案:启用FTP服务 设置eth0口的默认路由，指向5，且跳步数为1解析 Fixup命令可以启用或者禁止特定的服务、协议。 题干出现的PIX配置语句含义解释如下： PIX#show config . nameif eth0 outside security 0 /eth0接口命名为outside, 安全级别设置为0 nameif eth1 inside security 100 /eth1接口命名为inside, 安全级别设置为100 nameif eth2 dmz security 40 /eth2

11、接口命名为dmz, 安全级别设置为40 . fixup protocol ftp 21 /启动FTP协议，允许21端口的数据通过 fixup protocol http 80 /启动HTTP协议，允许80端口的数据通过 . ip address outside 2 48 /配置outside接口IP地址与掩码 ip address inside /配置inside接口IP地址与掩码 ip address dmz /配置dmz接口IP地址与掩码 .

12、global (outside) 1 6 /经outside接口去外网的数据，地址转换为6，全局地址池标志为1。所以由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是6 nat (inside)1 /所有地址按地址池1定义进行地址转换 . route outside 5 1 /设定默认路由，所有数据通过5转发 使用static命令配置静态地址映射，使得内外部地址一一对应。 Firewall (

13、config) #static (internal_interface_name, external_interface_name) outside_ip address inside_ip_address 其中internal_interface_name表示内部网络接口, 安全级别较高, 如inside; external_interface_name表示外部网络接口, 安全级别较低, 如outside; outside_ip_address表示共有IP地址; inside_jp_address表示被转换的IP地址。 如果需要dmz域的服务器(IP地址为00)对lnter

14、net用户提供Web服务(对外公开IP地址为3)，就需要完成两步工作： 将00和3建立映射关系。 PIX (config) #static (dmz,outside) 3 00可以完成这种映射。 防火墙上放开外网地址3的80端口。 PIX (config) #conduit permit tcp host 3 eq www any可以完成端口放开的任务。 2. 根据配置信息填写以下表格。 习题用表 域名称 接口名称 IP地址 IP地址掩码 insid

15、e eth1 _ outside eth0 2 _ dmz _ _ 答案: 48 eth2 3. 根据所显示的配置信息，由inside域发往Internet的IP分组在到达路由器R1时的源IP地址是_。答案:64. 如果需要dmz域的服务器(IP地址为00)对Internet用户提供Web服务(对外公开IP地址为3)，请补充完成下列配置命令。 PIX (config) #static (dm

16、z, outside)_ _ PIX (config) #conduit permit tcp host _ eq www any 答案:3 00 3 试题五(共15分)说明 某企业在公司总部和分部之间采用两台Windows Server 2003服务器部署企业IPSec VPN，将总部和分部的两个子网通过Internet互连，如下图所示。 1. 隧道技术是VPN的基本技术，隧道是由隧道协议形成的，常见隧道协议有IPSec、PPTP和L2TP，其中_和_属于第二层隧道协议，_属于第三层隧道协议。答案:PPTP L2TP (前两个顺序

17、可调换) IPSec解析 常见的隧道协议 协议层次 实例 数据链路层 L2TP、PPTP、L2F 网络层 IPSec 传输层与应用层之间 SSL 2. IPSec安全体系结构包括AH、ESP和ISA KMP/Oakley等协议。其中，_为IP包提供信息源验证和报文完整性验证，但不支持加密服务；_提供加密服务；_提供密钥管理服务。答案:AH ESP ISA KMP/Oakley解析 IPSec安全体系结构包括AH、ESP和ISA KMP/Oakley等协议。其中，AH为IP包提供信息源验证和报文完整性验证，但不支持加密服务；ESP提供加密服务；ISA KMP/Oakley提供密钥管理服务。 3.

18、 设置Server A和Server B之间通信的“筛选器属性”界面如图1所示，在Server A的IPSec安全策略配置过程中，当源地址和目标地址均设置为“一个特定的IP子网”时，源子网IP地址应设为_，目标子网IP地址应设为_。如图2所示的隧道设置中的隧道终点IP地址应设为_。 图1 “筛选器属性”对话框 图2 “编辑规划属性”对话框 答案: 解析 “筛选器属性”界面配置源子网IP地址(内网地址)和目的子网IP地址(内网地址)。 针对Server A，源子网IP地址(内网地址)为/32，所以“筛选器属性”界面源子网IP地址应设为；目的子网IP地址(内网地址)为/32，所以“筛选器属性”界面目标子网IP地址应设为。 “编辑规则属性”界面的隧道地址应该配置隧道对端(公网地址)。 针对Server A隧道对端(公网地址)为，所以隧道设置中的隧道终点IP地址应设为。 4. 在Server A的IPSec安全策略配置过程中，Server A和Server B之间通信的IPSec筛选器“许可”属性设置为“协商安全”